Hatena::Grouphatena

はてなの日記 このページをアンテナに追加 RSSフィード

はてなスタッフのはてなのサービス全般に関する日記です。
人力検索はてなの告知については、人力検索はてなの日記にて行っています。
使い方に関するご質問、不具合報告やご要望は、お問い合わせ窓口で承ります。
使い方のコツなどを知りたい時は、人力検索はてなの「はてなの使い方」カテゴリーをご利用ください。
※コメント欄へのご質問には対応できない場合がございますのでご了承ください。
 | 

2014-06-20

はてなへのリスト型アカウントハッキングと思われる不正ログインについてのご報告と、パスワード変更のお願い

12:00

昨日6月19日(木)、はてなアカウントにおいて、ご登録ユーザーご本人以外の第三者による不正なログインが発生したことを確認しました。同日、疑わしいIPアドレスからのアクセス遮断しました。このお知らせは本告知と並行して、全ユーザー様にも現在、メール送信しております。

前回告知した不正ログインと同様に、他社サービスから流出または不正取得されたアカウント情報(IDとパスワードの組み合わせ)を流用された「リスト型アカウントハッキング(リスト型攻撃)」である可能性が高いと考えています。

他社サービスと同一のID(メールアドレスまたはユーザー名)およびパスワードを使用しているユーザー様は、安全のため登録メールアドレスがご自身のものであるかを確認の上、パスワードの変更を強くおすすめします

また、それ以外のユーザー様も、はてなの「ユーザー設定」ページから登録情報等をご確認の上、より安全なパスワードと、正しく有効なメールアドレスを設定いただけるようお願いいたします。

不正ログインの詳細と、はてなの対応

不正ログイン発覚から対応までの経過
不正ログイン状況
不正ログインの被害状況
以下の被害は発生しておりません
  • クレジットカード情報に関して、下4桁以外の番号および有効期限が閲覧された可能性はありません
  • 今回の不正ログインで、金銭的な被害は発生しておりません
不正ログインを受けたユーザー様への対応とご連絡
不正ログインへの対策について

前回の不正ログイン時にもお知らせした「メールアドレス変更時には、変更前のメールアドレスに対しても変更通知メールを送付する」という対策により、今回、ユーザー様からいち早くご指摘をいただくことができました。

改めて、はてなをご利用の全ユーザー様に本告知とメールでパスワード変更をお願いすると共に、総務省が公表している対策など、順次対応を行って参ります。

不正ログイン防止のためのお願い

不正ログイン防止のため、今回の不正ログインの対象ではないユーザー様につきましても、下記の対応を強くおすすめいたします。なにとぞよろしくお願いします。このお知らせは本告知と並行して、全ユーザー様にも現在、メール送信しております。

※不正ログインを受けた場合、本人になりすまして、サービス内の登録情報を閲覧・変更される可能性があります。ただし、弊社サービスの有料プランなどへのお申し込みは、不正ログインによるものと確認できた場合、決済を取り消す処理を行います。また、Amazonギフト券交換は全件を目視で確認し、不正の疑いがある場合には、交換を停止するなどの対応を行っています。

もし今後、不正にメールアドレスが変更されたという場合には、お問い合わせ窓口より早急にはてなまでお知らせください。

また、本件に関してお気づきの点などがあれば、ぜひお問い合わせ窓口よりお知らせいただきますようお願いいたします。

付記 - リスト型アカウントハッキングについて

「リスト型アカウントハッキング」では、何らかの手段により他者のID・パスワードを入手した第三者が、これらのID・パスワードをリストのように用いてさまざまなサイトにログインを試みることで、個人情報の閲覧などを行います。同一のIDとパスワード複数のサービスで使用する危険性については、以下のページなどをご覧ください。

VEGALEONVEGALEON2014/06/20 22:35どうして、また他のニュースサイトで知ってからココに来るの?前回も「はてな」からメールのひとつも来ないし。

ki2nekoki2neko2014/06/21 15:59ログインに必要な「アカウント名」と「パスワード」の片方、「アカウント名」が各種リストでだだ漏れ状態なんだからパスワードがしょぼい人は一瞬で不正ログインされるって昔から言ってるのに さっさと第三者が知らない可能性の高いメルアドでしかログインできないようにしましょうよ

bol763bol7632014/06/22 22:57不正ログインのメールを見てログインした後で普段でない(しばらくつかっていませんでしたが)画面が出てきました。確認のためにパスワードを入力してくださいという画面が出てきました。怪しいと思ったので入力しませんでしたが気になったので投稿させてもらいます。

pochi0701pochi07012014/06/23 08:12AWSとかと同じようにログインじゃなくてトークン持ち歩く方がいいかもね。
ユーザIDとパスワードという方式自体が終焉なのかも。
一方メールで書かれてる内容(パスワードリセット等)が実施されてない時点で
運営側がもうどうにでもなれー状態であるような気もします。

higuildhiguild2014/06/23 17:17結局いくら勧告したところで楽したいユーザーは覚え易いIDやメアドやパスワードで登録するにきまってる。それらをユーザーに決めさせてることに問題があるてのをヒントにちょっと頭ひねってみな?すぐ答えが出てくるから。個人的にはもう対応済み。だからこういう件が有るたびに過去のパスワード使えなくされたりして正直迷惑。

WindymeltWindymelt2014/06/24 17:05Yubikeyなどのセキュリティトークンが利用できるように他サービスのOpenIDを利用してログインできる仕組みを復活して欲しいです。もはやユーザ名・パスワードの時代ではないでしょう。

AbckunAbckun2014/06/27 19:03指紋認証とかできたらいいよね。niconicoも使ってます。

 |